Foros del Web » Creando para Internet » Sistemas de gestión de contenidos »

Bugs: Mambo & Joomla | Weblinks SQL Injection Vulnerability

Estas en el tema de Bugs: Mambo & Joomla | Weblinks SQL Injection Vulnerability en el foro de Sistemas de gestión de contenidos en Foros del Web. Acaban de salir un par de exploit para mambo y Joomla que afectan a todas sus versiones, los cuales permiten obtener credenciales como administrador.. todavía ...
  #1 (permalink)  
Antiguo 18/06/2006, 10:23
Avatar de Gustavo Aragon  
Fecha de Ingreso: junio-2006
Ubicación: Bahía Blanca - Argentina
Mensajes: 20
Antigüedad: 17 años, 9 meses
Puntos: 0
Bugs en joomla <=1.0.9

Acaban de salir un par de exploit para mambo y Joomla que afectan a todas sus versiones, los cuales permiten obtener credenciales como administrador.. todavía el Sitio oficial de joomla no se a echo eco de esta noticia ya que esta información esta siendo manejada en algunas comunidades cerradas de seguridad informatica. Por favor .. por el momento realizar un backup total de su sito web y borrar del mismo el Componente "Weblinks". Todavía no existe parche para este bug dado que es muy reciente.

-> Mambo & Joomla | Weblinks SQL Injection Vulnerability
-> Mambo Weblinks SQL Injection Vulnerability

+ securityfocus.com/bid/18492/info
+ joomlaspanish.org

Saludos y Buen Día
Gustavo Raúl Aragón

Última edición por Gustavo Aragon; 20/06/2006 a las 12:41
  #2 (permalink)  
Antiguo 18/06/2006, 23:35
Avatar de theArcher  
Fecha de Ingreso: julio-2005
Ubicación: Lima - Perú
Mensajes: 96
Antigüedad: 18 años, 8 meses
Puntos: 0
Sonrisa

Se agradece el dato, pero viendo que todavia no hay solucion, no deberias anunciar donde esta el hueco, sino simplemente la solucion temporal, me parece mas prudente.
__________________
-----
theArcher l Creatividad y Desarrollo Web
NEXTEL: 981 408494 / 140*8494 SKYPE: thearcher.biz
theArcher.biz
  #3 (permalink)  
Antiguo 19/06/2006, 07:45
Avatar de Gustavo Aragon  
Fecha de Ingreso: junio-2006
Ubicación: Bahía Blanca - Argentina
Mensajes: 20
Antigüedad: 17 años, 9 meses
Puntos: 0
¿Quien sos para decirme lo que debo o no debo hacer?

La información existe y el exploit esta.. no voy a esconderle nada a los usuarios de la comunidad hispana.. esto es open source y así se trabaja.. conociendo donde esta la falla se generan los parches y no necesariamente el parche tiene que venir desde el core de joomla.

Cita:
"La ignorancia es madre del miedo."
Henry Home Kames (1696-1792) Juez y escritor francés.
Saludos y Buen Día
Gustavo Raúl Aragón
  #4 (permalink)  
Antiguo 19/06/2006, 07:55
Avatar de theArcher  
Fecha de Ingreso: julio-2005
Ubicación: Lima - Perú
Mensajes: 96
Antigüedad: 18 años, 8 meses
Puntos: 0
Cita:
Iniciado por Gustavo Aragon
¿Quien sos para decirme lo que debo o no debo hacer?

La información existe y el exploit esta.. no voy a esconderle nada a los usuarios de la comunidad hispana.. esto es open source y así se trabaja.. conociendo donde esta la falla se generan los parches y no necesariamente el parche tiene que venir desde el core de joomla.



Saludos y Buen Día
Gustavo Raúl Aragón
Como que quien soy?, soy un usuario de este foro, y como cualquier usuario, tengo la misma libertad de comentar lo que desee, o te molesto que diera mi opinion?

------------
¿Qué es libertad de palabra?

"Hay claro está, una limitación obvia al principio de la libre palabra; sin un acto legal, es lógico hacer ilegal todo cuanto vaya en su favor. Este principio justifica el que las autoridades prohíban la incitación al asesinato, o la revolución violenta. Pero en la práctica este principio no tiene validez total Si ha de existir la libertad personal, los hombres deben tener libertad para pugnar un cambio de leyes".

Bertrand Russell (1872-1970)
__________________
-----
theArcher l Creatividad y Desarrollo Web
NEXTEL: 981 408494 / 140*8494 SKYPE: thearcher.biz
theArcher.biz
  #5 (permalink)  
Antiguo 19/06/2006, 08:04
Avatar de Gustavo Aragon  
Fecha de Ingreso: junio-2006
Ubicación: Bahía Blanca - Argentina
Mensajes: 20
Antigüedad: 17 años, 9 meses
Puntos: 0
molesta tu prepotencia.. tu falta de respeto.. tu arrogancia..

Debes cambiar tu actitud hacia los demas para lograr que te respeten.

Con trolls no discuto.

Pd: Algun mod que cierre el post ya que lo importante se esta desvirtuando..

Saludos y Buen Día
Gustavo Raúl Aragón
  #6 (permalink)  
Antiguo 19/06/2006, 13:15
Avatar de metacortex
Viejo demente
 
Fecha de Ingreso: junio-2004
Ubicación: Caracas - Venezuela
Mensajes: 9.027
Antigüedad: 19 años, 9 meses
Puntos: 832
Pues ya está confirmado de forma oficial:

Joomla! "Name" SQL Injection Vulnerability
http://secunia.com/advisories/20746
has been CONFIRMED

Seguimiento completo del bug
http://forum.joomla.org/index.php/topic,70117

Gracias por la información Gustavo. Tal como mencionaste será cuestión de horas para que implementen el parche necesario.

Saludos.
  #7 (permalink)  
Antiguo 19/06/2006, 13:52
Avatar de Gustavo Aragon  
Fecha de Ingreso: junio-2006
Ubicación: Bahía Blanca - Argentina
Mensajes: 20
Antigüedad: 17 años, 9 meses
Puntos: 0
Todavía no es oficial pero en cuestión de horas me animo a decir que saldrá la nueva versión de Joomla 1.0.10.

Por favor estén atentos a nuevas novedades dado el alto nivel de riesgo que corren sus portales

Adjunto lo que se acaba de actualizar en el svn de la versión 1.0.x!

This Release Contains following Security Fixes

Joomla! utilizes the Open Web Application Security Project (OWASP) web application security system to categorize security vunerabilities found within Joomla!
owasp.org/index.php/OWASP_Top_Ten_Project


** HIGH Level Threats fixed in 1.0.10

A1 Unvalidated Input
* A1 - Secured `Remember Me` functionality against SQL injection attacks
* A1 - Secured `Related Items` module against SQL injection attacks
* A1 - Secured `Weblinks` submission against SQL injection attacks


** LOW Level Threats fixed in 1.0.10
A1 Unvalidated Input
* A1 - Hardened frontend submission forms against spoofing


Saludos y Buen Día
Gustavo Raúl Aragón

Última edición por Gustavo Aragon; 19/06/2006 a las 14:00
  #8 (permalink)  
Antiguo 20/06/2006, 12:25
Avatar de Gustavo Aragon  
Fecha de Ingreso: junio-2006
Ubicación: Bahía Blanca - Argentina
Mensajes: 20
Antigüedad: 17 años, 9 meses
Puntos: 0
Confirmado! Joomla 1.0.10 sale en horas!

Cita:
Gustavo:
Oficial solution for SQL injection .. 1.0.10 ? for when?

Rey Gigataras: Joomla! Core Team Member
We are working as quickly as possible to complete and release 1.0.10 as soon as possible - at last check my watch said 2am.
Hilo completo de la discusión

Saludos y Buen Día
Gustavo Raúl Aragón

Última edición por Gustavo Aragon; 20/06/2006 a las 12:37
  #9 (permalink)  
Antiguo 20/06/2006, 20:08
 
Fecha de Ingreso: enero-2006
Mensajes: 23
Antigüedad: 18 años, 1 mes
Puntos: 0
Muy buena info.
  #10 (permalink)  
Antiguo 24/06/2006, 04:15
Avatar de Gustavo Aragon  
Fecha de Ingreso: junio-2006
Ubicación: Bahía Blanca - Argentina
Mensajes: 20
Antigüedad: 17 años, 9 meses
Puntos: 0
Rey Gigataras - Core Joomla
Cita:
Joomla! 1.0.10 will be released within the next 24-48 hours.

It has been sent to testing teams for final approval for release.
Saludos y Buen Día
Gustavo Raúl Aragón
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 22:14.